Sicher ohne .htaccess

Hallo,
also ich will jetzt nicht fragen wie das geht ode rso, dazu gibts genug threads, wollte nur fragen ob ich das für meine anwendungen brauche:

Also Ich habe auf dem Webspace nur php-scripte und die mysql-datenbank.
wenn man auf die startseite kommt, muss man name und passwort auslesen, der mit werten aus einer sql-tabelle verglichen wird, stimmen die überein, wird eine wert auf ok gesetzt und man wird auf ein anderes php-script weitergeleitet(ok-Wert wird übermittelt)
so man kann dann bestimmte fomulare ausfüllen etc.

so nun meine frage, reicht das nciht wenn ich das so mache, oder brauche ich die .htaccess um sicherheit zu garantieren. weil, ich meine was soll den ein angreifer machen? php-dateien kann er nicht runterladen, und wenn er sie so öffnet, passiert nix, weil der ok-wert vom login-script fehlt.

sagt mir mal ob ich das total falsch sehe

nur ist die frage, kann trotzdem ein angreifer daten im sql einfach so manipulieren, oder bekommt er da keine zugriffsrechte?

novaner

Also ich weiss nicht ob ich das jetzt falsch sehe.. aber wenn der ok wert z.B einfach 'OK' ist kann der potentielle 'Angreifer' den auch übergeben ohne das LogIn absolviert zu haben, oder nicht?

hmm,

kommt drauf an.

- wie gehts du mit register globals um?
- wie verhinderst du sql-injections?

@haga: hm stimmt, aber man könnte ja nen komplizierteren wert nehmen, den der angreifer nicht kennt und php-files kann er ja nicht ausgucken

@derhund: sry, versteh nur bahnhof
erklärst du mir evtl. wie du das meinst?

http://www.php-resource.de/forum/search.php

ok, hab jetzt ne weile alles durchgearbeitet.

also zur sql-injection: also hier muss ich aufpassen dass der user keinen bösen code einbringt, der z.b. daten aus der tabelle manipuliert

und mit dem begriff "register objects" kann ich imemr noch nix anfangen, was soll er denn damit anstellen? eigene funktionen oder sowas schreiben? aber er bekommt doch da keinen zugriff auf die scql-datenbank, weil ihm das passwort fehlt oder?

register globals

schau dir einfach mal die codeschnipsel zum usermanagement an ... damit solltest du glücklich werden. würd ich sagen.

ups, wer lesen kan nis klar i mvorteil. ok. arbeite das nach einen kurzen schlafpause gleich durch ;-)